Alcuni hacker iniziato a sfruttare una vulnerabilità di gravità critica nel plugin WP Automatic per WordPress. Tale bug consente di creare account utente con privilegi amministrativi e per installare backdoor per l'accesso a lungo termine. Attualmente installato su oltre 30.000 siti, WP Automatic consente di automatizzare l'importazione di contenuti (ad esempio testo, immagini, video) da varie fonti online e la pubblicazione sul proprio sito WordPress. La vulnerabilità sfruttata è identificata come CVE-2024-27956 e ha ricevuto un punteggio di gravità di 9,9/10. Scoperto dai ricercatori di PatchStack il 13 marzo, questo difetto è stato descritto come un problema di SQL injection che colpisce le versioni di WP Automatic precedenti alla 3.9.2.0. Il problema risiede nel meccanismo di autenticazione utente del plugin, che può essere aggirato per inviare query SQL al database del sito. Gli hacker possono infatti utilizzare query appositamente predisposte per creare account amministratore sul sito web di destinazione.
WordPress: rilevati più di 5,5 milioni di attacchi al plugin
Da quando PatchStack ha rivelato il problema di sicurezza, WPScan di Automatic ha osservato oltre 5,5 milioni di attacchi che cercavano di sfruttare la vulnerabilità. La maggior parte di questi sono stati registrati il 31 marzo. WPScan segnala che, dopo aver ottenuto l'accesso al sito web, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Come si legge sul report diffuso da WPScan: “2na volta che un sito WordPress viene compromesso, gli aggressori garantiscono la longevità del loro accesso creando backdoor e offuscando il codice”. Inoltre, gli hacker rinominano il file vulnerabile “csv.php”. Ciò impedisce ad altri hacker di compromettere il sito web sfruttando lo stesso problema ed evitare il rilevamento. Inoltre, ottenuto il controllo del sito web, gli autori delle minacce installano spesso plugin aggiuntivi che consentono il caricamento di file e la modifica del codice.
WPScan fornisce una serie di indicatori di compromissione che possono aiutare gli amministratori a determinare se il proprio sito web è stato violato. Gli amministratori possono verificare la presenza di segnali che indicano che gli hacker hanno preso il controllo del sito web cercando la presenza di un account amministratore che inizia con "xtw" e file denominati web.php e index.php, che sono le backdoor installate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori consigliano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan consiglia inoltre ai proprietari di siti web di creare frequentemente backup del proprio sito. Ciò permette infatti di installare rapidamente copie pulite in caso di compromissione.